Ochrona danych osobowych. Kontrola i postępowanie w sprawie naruszenia przepisów. Poradnik ze wzorami
Książka zawiera odpowiedzi na kluczowe pytania związane z kontrolą i postępowaniem w sprawie naruszenia przepisów o ochronie danych osobowych, w tym m.in.
jakie podmioty mogą być kontrolowane?
jakie są prawa i obowiązki podmiotów kontrolowanych?
jakie relacje zachodzą między kontrolą a postępowaniem administracyjnym?
Ponadto w publikacji omówiono, jak administrator ochrony danych osobowych powinien przygotować się do kontroli, w zakresie m.in. wykazania zapewnienia zgodności z przepisami i obowiązkami dokumentacyjnymi wynikającymi z RODO.
Opracowanie zawiera także:
wzory dokumentów istotnych dla administratorów danych i podmiotów przetwarzających zarówno na etapie kontroli, jak i postępowania w sprawie naruszenia przepisów o ochronie danych,
wzory skarg na decyzje i postanowienia wydawane przez Prezesa Urzędu na gruncie ustawy o ochronie danych osobowych.
Adresaci:
Publikacja jest przeznaczona dla adwokatów, radców prawnych, a także administratorów, podmiotów przetwarzających i inspektorów ochrony danych. Będzie przydatna pracownikom administracji rządowej i samorządowej oraz przedsiębiorcom przetwarzającym dane osobowe.
- Kategorie:
- Język wydania: polski
- ISBN: 978-83-8160-541-0
- ISBN druku: 978-83-8160-395-9
- EAN: 9788381605410
- Liczba stron: 374
-
Sposób dostarczenia produktu elektronicznegoProdukty elektroniczne takie jak Ebooki czy Audiobooki są udostępniane online po opłaceniu zamówienia kartą lub przelewem na stronie Twoje konto > Biblioteka.Pliki można pobrać zazwyczaj w ciągu kilku-kilkunastu minut po uzyskaniu poprawnej autoryzacji płatności, choć w przypadku niektórych publikacji elektronicznych czas oczekiwania może być nieco dłuższy.Sprzedaż terytorialna towarów elektronicznych jest regulowana wyłącznie ograniczeniami terytorialnymi licencji konkretnych produktów.
-
Ważne informacje techniczneMinimalne wymagania sprzętowe:procesor: architektura x86 1GHz lub odpowiedniki w pozostałych architekturachPamięć operacyjna: 512MBMonitor i karta graficzna: zgodny ze standardem XGA, minimalna rozdzielczość 1024x768 16bitDysk twardy: dowolny obsługujący system operacyjny z minimalnie 100MB wolnego miejscaMysz lub inny manipulator + klawiaturaKarta sieciowa/modem: umożliwiająca dostęp do sieci Internet z prędkością 512kb/sMinimalne wymagania oprogramowania:System Operacyjny: System MS Windows 95 i wyżej, Linux z X.ORG, MacOS 9 lub wyżej, najnowsze systemy mobilne: Android, iPhone, SymbianOS, Windows MobilePrzeglądarka internetowa: Internet Explorer 7 lub wyżej, Opera 9 i wyżej, FireFox 2 i wyżej, Chrome 1.0 i wyżej, Safari 5Przeglądarka z obsługą ciasteczek i włączoną obsługą JavaScriptZalecany plugin Flash Player w wersji 10.0 lub wyżej.Informacja o formatach plików:
- PDF - format polecany do czytania na laptopach oraz komputerach stacjonarnych.
- EPUB - format pliku, który umożliwia czytanie książek elektronicznych na urządzeniach z mniejszymi ekranami (np. e-czytnik lub smartfon), dając możliwość dopasowania tekstu do wielkości urządzenia i preferencji użytkownika.
- MOBI - format zapisu firmy Mobipocket, który można pobrać na dowolne urządzenie elektroniczne (np.e-czytnik Kindle) z zainstalowanym programem (np. MobiPocket Reader) pozwalającym czytać pliki MOBI.
- Audiobooki w formacie MP3 - format pliku, przeznaczony do odsłuchu nagrań audio.
Rodzaje zabezpieczeń plików:- Watermark - (znak wodny) to zaszyfrowana informacja o użytkowniku, który zakupił produkt. Dzięki temu łatwo jest zidentyfikować użytkownika, który rozpowszechnił produkt w sposób niezgodny z prawem. Ten rodzaj zabezpieczenia jest zdecydowanie bardziej przyjazny dla użytkownika, ponieważ aby otworzyć książkę zabezpieczoną Watermarkiem nie jest potrzebne konto Adobe ID oraz autoryzacja urządzenia.
- Brak zabezpieczenia - część oferowanych w naszym sklepie plików nie posiada zabezpieczeń. Zazwyczaj tego typu pliki można pobierać ograniczoną ilość razy, określaną przez dostawcę publikacji elektronicznych. W przypadku zbyt dużej ilości pobrań plików na stronie WWW pojawia się stosowny komunikat.
Wykaz skrótów 15 Część I Podziały danych osobowych objętych kontrolą 1. Dane osobowe wrażliwe (szczególne kategorie danych), dane o karalności oraz dane osobowe zwykłe 19 2. Dane osobowe podane, zaobserwowane, pochodne oraz wywnioskowane 21 3. Dane uporządkowane oraz nieuporządkowane 23 3.1. Ogólne informacje 23 3.2. Uporządkowanie a ustrukturyzowanie 29 4. Dane identyfikowalne oraz nieidentyfikowalne 30 4.1. Dwie normy wynikające z art. 11 RODO 30 4.2. Artykuł 11 RODO a definicja danych osobowych 31 4.3. Krótkotrwałe i długotrwałe przetwarzanie danych 38 Część II Pytania i odpowiedzi 1. Czym jest RODO? 41 2. Jakie sankcje administracyjne i karne mogą grozić za naruszenie RODO? 42 3. Jakich kategorii danych dotyczy kontrola/postępowanie? 44 4. Kiedy przepisy RODO nie będą miały zastosowania? 48 5. Jakie podmioty podlegają kontroli / mogą być adresatem decyzji w ramach postępowania w sprawie naruszenia przepisów o ochronie danych osobowych? 49 6. Kiedy prowadzona jest kontrola, a kiedy prowadzi się postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych? 51 7. Czy do kontroli uzupełniającej stosuje się przepisy Kodeksu postępowania administracyjnego (w tym przepisy gwarancyjne)? 56 8. Jaka jest relacja pomiędzy przepisami o kontroli w RODO a przepisami prawa przedsiębiorców? 58 9. Jak należy rozumieć pojęcie naruszenia przepisów o ochronie danych osobowych? 61 10. Jakie są tryby kontroli? Czy kontrole mogą być niezapowiedziane? 62 11. Jakie są obowiązki kontrolowanego w trakcie kontroli i co grozi za ich naruszenie? 66 12. Czy można kwestionować wszczęcie kontroli lub inne czynności w toku kontroli? 67 13. Czy można kwestionować wszczęcie postępowania administracyjnego lub inne czynności w jego toku? 68 14. Jaka jest relacja zasady rozliczalności do obowiązku zebrania materiału dowodowego przez organ nadzorczy (art. 77 k.p.a.)? 69 15. Jak ustalić moment wszczęcia postępowania administracyjnego? 73 16. Jakie dokumenty inicjują kontrolę? 73 17. Czy i jak chroniona jest tajemnica przedsiębiorstwa? 76 18. Czy i w jakim zakresie Prezes UODO może mieć dostęp do tajemnic prawnie chronionych w toku kontroli i postępowania administracyjnego, na przykładzie poszczególnych tajemnic? 80 19. Jakie są konsekwencje naruszenia wymogów co do treści upoważnienia do kontroli? 81 20. Czy kontrola może być realizowana wyłącznie w zakresie upoważnienia? 82 21. Czy pracownicy kontrolowanego administratora /podmiotu przetwarzającego podlegają kontroli? 83 22. Czy można odpowiadać dyscyplinarnie za naruszenia przepisów dotyczących ochrony danych osobowych? 84 23. Jak długo może być prowadzona kontrola? 86 24. Kto prowadzi kontrolę? 87 25. Kto może brać udział w kontroli? Czy można prowadzić kontrolę pod nieobecność kontrolowanego? 87 26. Czy sektor publiczny objęty jest także kontrolą? 89 27. Czy można prowadzić kontrolę u procesora (podmiotu przetwarzającego)? 89 28. Jakie uprawnienia ma kontrolujący? 91 29. Jaka jest rola osoby, której dane dotyczą, w ramach kontroli i postępowania? 91 30. W jaki formalny sposób dochodzi do zakończenia kontroli? 93 31. W jaki sposób można kwestionować treść protokołu kontroli? 96 32. Czy protokół kontroli i materiał dowodowy kontroli stają się automatycznie częścią materiału dowodowego w postępowaniu administracyjnym? 97 33. Czy czynności w toku kontroli są utrwalane jedynie w protokole? 98 34. Czy wadliwość czynności w toku kontroli może mieć wpływ na postępowanie administracyjne? 99 35. Kto jest stroną w postępowaniu administracyjnym? 99 36. Kiedy postępowanie administracyjne może być umorzone? 101 37. Jakie są rodzaje rozstrzygnięć co do istoty sprawy w ramach postępowania w przedmiocie naruszenia przepisów o ochronie danych osobowych? 102 38. Jakie są skutki doręczenia decyzji Prezesa UODO? 103 39. Jaki środek przysługuje w postępowaniu administracyjnym w przypadku niezałatwienia sprawy w terminie? 104 40. Czy decyzja Prezesa UODO w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych jest natychmiastowo wykonalna? 106 41. Jak można kwestionować (skarżyć) decyzję Prezesa UODO? 107 42. Czy niekorzystny wyrok WSA można zakwestionować? 108 43. Czy do postępowania w sprawie naruszenia przepisów o ochronie danych osobowych stosuje się reguły dotyczące milczącego załatwienia sprawy? 109 44. Jakie są podstawy wyłączenia kontrolera/ pracownika organu prowadzącego postępowanie administracyjne w sprawie naruszenia przepisów o ochronie danych osobowych? 110 45. Jakie są administracyjne kary pieniężne w sektorze prywatnym , a jakie w sektorze publicznym? 110 46. Jakie są kryteria miarkowania kary w ramach decyzji kończącej postępowanie? 113 47. Czy można nałożyć karę pieniężną bez postępowania/ decyzji? 115 48. Czy administracyjne kary pieniężne ulegają przedawnieniu? 116 49. W jakim terminie należy zapłacić karę? 117 50. Czy można starać się o rozłożenie kary na raty, odroczenie terminu płatności lub o ulgę w jej wykonaniu? 118 51. Jaka jest wysokość opłaty w przypadku skargi do WSA na decyzję Prezesa UODO? 119 52. Relacje pomiędzy kontrolą/postępowaniem w sprawie naruszenia przepisów o ochronie danych osobowych a postępowaniem cywilnym 120 53. Jaka jest rola inspektora ochrona danych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych? 122 54. Jaka jest rola pełnomocników profesjonalnych w toku kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych? 123 55. Jakie przepisy znajdą zastosowanie do kontroli i postępowania administracyjnego wszczętych przed 25.05.2018 r.? 124 56. Czy organy nadzorcze z poszczególnych państw członkowskich mogą prowadzić wspólne postępowania? 127 57. Czy wiadomo u kogo będzie prowadzona kontrola w 2019 roku? 128 Część III Jak przygotować się do kontroli? Rozdział I Kategorie obowiązków: wymogi bezpośrednie i metawymogi 133 Rozdział II Jak zapewnić i udokumentować zgodność 136 1. Zapewnienie rozliczalności w ramach przygotowania do kontroli – wprowadzenie 136 2. Rozliczalność na gruncie ustawy o ochronie danych osobowych z 1997 r. 138 3. Rozliczalność w RODO 139 4. Znaczenie rozliczalności w aspekcie kontroli 140 5. Zakres rozliczalności 140 6. Realizacja rozliczalności 141 7. Inne przykłady realizacji rozliczalności 143 8. Dokumentowanie w ramach rozliczalności 145 9. Dokumentowanie naruszeń ochrony danych osobowych 146 10. Obowiązki dokumentacyjne związane z realizacją obowiązków informacyjnych oraz praw podmiotów danych 147 11. Obowiązki dokumentacyjne związane z korzystaniem z podmiotu przetwarzającego 148 12. Rejestrowanie czynności przetwarzania 150 13. Ocena skutków i uprzednie konsultacje 151 14. Inne obowiązki dokumentacyjne 152 15. Obowiązki dokumentacyjne w RODO a dotychczasowe dokumenty 154 16. Rozliczalność w opiniach i wytycznych Europejskiej Rady Ochrony Danych 156 17. Podsumowanie 158 Rozdział III Ocena ryzyka 159 1. Ocena ryzyka w RODO 159 1.1. Normatywny kontekst analizy ryzyka w RODO (kiedy ocena ryzyka jest wymagana?) 159 1.2. Ogólny wymóg monitorowania ryzyka dla praw lub wolności (art. 24 ust. 1 RODO) 160 1.3. Ocena ryzyka w fazie projektowania (art. 25 ust. 1 RODO) 160 1.4. Ocena ryzyka pod kątem obowiązku prowadzenia rejestru czynności (art. 30 ust. 5 RODO) 161 1.5. Ocena ryzyka w ramach oceny środków służących bezpieczeństwu (art. 32 ust. 1–2 RODO) 161 1.6. Ocena ryzyka w ramach oceny incydentów bezpieczeństwa danych osobowych pod kątem obowiązku zgłaszania naruszenia ochrony danych osobowych organowi nadzorczemu (art. 33 ust. 1 RODO) 162 1.7. Ocena ryzyka w ramach oceny potrzeby zawiadamiania osoby, której dane dotyczą, w przypadku incydentu (art. 34 ust. 1 RODO) 162 1.8. Ocena ryzyka w ramach oceny skutków dla ochrony danych osobowych (art. 35 ust. 1 RODO) 162 1.9. Ocena ryzyka a funkcjonowanie inspektora ochrony danych (art. 39 ust. 2 RODO) 163 1.10. Założenia wstępne 164 2. Ramy analizy ryzyka 167 2.1. Ryzyko naruszenia praw lub wolności 167 2.2. Przykłady ryzyk 169 2.3. Etapy oceny ryzyka 173 2.4. Zagrożenie a ryzyko 176 2.4.1. Waga zagrożenia a waga ryzyka 180 2.4.2. Prawdopodobieństwo zagrożenia i prawdopodobieństwo ryzyka 182 2.5. Obiektywność oceny 186 2.6. Kryteria postępowania z ryzykiem 187 2.7. Rola podmiotu przetwarzającego 191 3. Ocena skutków dla ochrony danych i uprzednie konsultacje 194 3.1. Ocena skutków – wstęp 194 3.2. Kiedy ocena skutków może być wymagana? 195 3.3. Powiązanie oceny ryzyka i oceny skutków 200 3.4. Kiedy należy się konsultować z organem nadzorczym? 209 3.5. Elementy dokumentacyjne oceny skutków 210 3.6. Ocena ryzyka a inspektor ochrony danych 211 4. Podsumowanie 212 Część IV Tabele Tabela nr 1. Elementy pisemnego upoważnienia dla kontrolującego (zgodnie z art. 81 n.u.o.d.o.) 215 Tabela nr 2. Elementy upoważnienia kontrolującego – porównanie nowej ustawy o ochronie danych osobowych i prawa przedsiębiorców 217 Tabela nr 3. Kto ma / może być obecny w czasie kontroli? 219 Tabela nr 4. Uprawnienia kontrolującego 221 Tabela nr 5. Skorelowane obowiązki kontrolowanego 227 Tabela nr 6. Wyłączenie kontrolującego (w toku kontroli) a wyłączenie pracownika organu nadzorczego (Prezesa UODO) – porównanie 229 Tabela nr 7. Kontrola a czynności sprawdzające w ramach certyfikacji 231 Tabela nr 8. Elementy protokołu kontroli (zgodnie z art. 88 ust. 2 n.u.o.d.o.) 235 Tabela nr 9. Modyfikacje regulacji Kodeksu postępowania administracyjnego wprowadzone treścią nowej ustawy o ochronie danych osobowych 239 Tabela nr 10. Przykładowe zarzuty możliwe do podniesienia w skardze na decyzję administracyjną Prezesa UODO w ramach postępowania dowodowego prowadzonego w sprawie naruszenia przepisów nowej ustawy o ochronie danych osobowych w ramach postępowania administracyjnego 251 Tabela nr 11. Wybrane przepisy Kodeksu postępowania administracyjnego istotne z punktu widzenia kwestionowania rozstrzygnięć w postępowaniu w sprawie naruszenia przepisów o ochronie danych osobowych 253 Tabela nr 12. Środek tymczasowy – przesłanki i porównanie nowej ustawy o ochronie danych osobowych i ustawy o ochronie konkurencji i konsumentów 256 Tabela nr 13. Elementy decyzji administracyjnej kończącej postępowanie przed Prezesem UODO w sprawie naruszenia przepisów o ochronie danych osobowych 257 Tabela nr 14. Elementy skargi na decyzję/postanowienie Prezesa UODO 262 Tabela nr 15. Elementy skargi kasacyjnej od wyroku WSA 266 Tabela nr 16. Podstawowe środki ochrony prawnej na etapie kontroli i postępowania w sprawie naruszenia (kwestionowanie czynności lub braku czynności w ramach kontroli i postępowania w sprawie naruszenia przepisów o ochronie danych osobowych) 272 Tabela nr 17. Porównanie administratora bezpieczeństwa informacji i inspektora ochrony danych (w aspekcie kontroli i audytu wewnętrznego) 276 Tabela nr 18. Przykładowa tabela określająca wymóg i możliwy sposób wdrożenia 280 Tabela nr 19. Zestawienie przepisów dotyczących oceny ryzyka 308 Tabela nr 20. Ocena operacji pod kątem potrzeby dokonywania oceny skutków (przykład) 311 Tabela nr 21. Przykładowy formularz oceny skutków (DPIA) 312 Część V Wzory pism 1. Wzór skargi na decyzję Prezesa UODO w przedmiocie uchylenia zastrzeżenia tajemnicy przedsiębiorstwa wraz z wnioskiem o wstrzymanie wykonalności zaskarżonej decyzji 319 2. Wzór skargi na decyzję Prezesa UODO w przedmiocie stwierdzenia naruszenia i nakazania usunięcia danych osobowych oraz powiadomienia o tym odbiorców, których dane ujawniono 327 3. Wzór skargi na decyzję Prezesa UODO w przedmiocie stwierdzenia naruszenia i nałożenia administracyjnej kary pieniężnej 330 4. Wzór wniosku o odroczenie terminu uiszczenia administracyjnej kary pieniężnej ze względu na ważny interes wnioskodawcy 333 5. Wzór skargi na postanowienie Prezesa UODO w przedmiocie odmowy odroczenia terminu uiszczenia administracyjnej kary pieniężnej 336 6. Wzór skargi na postanowienie Prezesa UODO w przedmiocie ograniczenia przetwarzania danych osobowych 339 7. Wzór skargi na decyzję Prezesa UODO w przedmiocie wymierzenia kary grzywny w wysokości 5000 zł stosownie do art. 69 n.u.o.d.o. 342 8. Wzór zastrzeżeń do protokołu kontroli 345 9. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy udzielenia akredytacji 348 10. Wzór skargi na decyzję Prezesa UODO w przedmiocie cofnięcia akredytacji 351 11. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy dokonania certyfikacji 354 12. Wzór skargi na decyzję Prezesa UODO w przedmiocie cofnięcia certyfikacji 357 13. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy zatwierdzenia wiążących reguł korporacyjnych 359 14. Wzór skargi na decyzję Prezesa UODO w przedmiocie odmowy udzielenia zezwolenia, o którym mowa w art. 46 ust. 3 RODO 362 15. Wzór skargi kasacyjnej od wyroku WSA 364 Bibliografia 371